Pipedrive LeadBooster und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Pipedrive LeadBooster (Chatbot, Web-Formulare, Live-Chat) auf seiner Webseite ein, verarbeitet er nach den öffentlich zugänglichen Angaben des Anbieters insbesondere Webserver-Protokolldaten, Klickpfade, Endgeräte- und Browserinformationen, grobe Standortdaten sowie die vom Besucher in das Formular oder den Chat eingegebenen Inhalte – im Kern zur Lead-Erfassung, Vertragsanbahnung und Kommunikation. Dieser Beitrag beschreibt, welche Datenverarbeitungen mit der Webseiten-Einbindung von Pipedrive LeadBooster typischerweise einhergehen und welche Pflichtangaben dazu in die Datenschutzerklärung gehören.

A. Zweck und Funktionsweise von Pipedrive LeadBooster

Pipedrive ist ein cloudbasiertes CRM-System (Customer-Relationship-Management) für Vertriebs- und Lead-Prozesse. LeadBooster ist ein kostenpflichtiges Add-on des Pipedrive-CRM, das vier Funktionsbausteine zur Lead-Erfassung bündelt: einen Chatbot mit vordefinierten Dialogen, einen Live-Chat mit menschlichen Agenten, Web-Formulare zur Lead-Erfassung sowie Prospector zur externen Kontaktrecherche.

Für Webseitenbetreiber relevant ist die Webseiten-Einbindung dreier dieser Bausteine: Chatbot, Live-Chat und Web-Formulare werden über ein JavaScript-Snippet (leadbooster-chat.pipedrive.com) bzw. einen Embed-Code in die eigene Webseite integriert. Der Browser des Besuchers stellt dabei eine direkte Verbindung zu Servern von Pipedrive her. Eingaben (Formularfelder, Chat-Nachrichten) und technische Metadaten fließen unmittelbar an Pipedrive und werden dort dem CRM-Konto des Webseitenbetreibers zugeordnet.

Diese Toolseite konzentriert sich auf die genannten eingebetteten Funktionen (Chatbot, Live-Chat, Web-Formulare). Die rein interne Nutzung des Pipedrive-CRM (Datenpflege, Pipeline-Management, Reporting durch Mitarbeiter des Webseitenbetreibers) ist nicht Gegenstand dieser Seite, ebenso wenig der Prospector-Dienst, der außerhalb der Besucher-Webseite arbeitet.

B. Pflichtangaben in der Datenschutzerklärung

Die DSGVO verlangt für die Datenschutzerklärung – neben allgemeinen Angaben zum Verantwortlichen, zu den Betroffenenrechten und zur Aufsichtsbehörde – in Bezug auf den Einsatz von Tools wie Pipedrive LeadBooster folgende spezifische Pflichtangaben:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• bei einer Stützung auf Interessenabwägung (Art. 6 Abs. 1 lit. f DSGVO) die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO),
• ob Daten in ein unsicheres Drittland außerhalb EU/EWR übermittelt werden und auf welcher Grundlage (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO),
• bei Erhebung nicht direkt beim Betroffenen zusätzlich die Kategorien der verarbeiteten Daten (Art. 14 Abs. 1 lit. d DSGVO).

Die genannten Pflichtangaben werden nachfolgend für Pipedrive LeadBooster aufgeschlüsselt.

Es ist nicht erforderlich, jedes einzelne Tool – auch nicht Pipedrive LeadBooster – mit eigenem Textbaustein in der Datenschutzerklärung aufzuführen. Diese „Textbaustein-pro-Tool"-Praxis hat sich zwar weithin eingebürgert, führt aber zu langen, sich inhaltlich wiederholenden Texten, die schwer pflegbar sind und das Transparenzgebot des Art. 12 Abs. 1 DSGVO eher unterlaufen als erfüllen. Sachgerechter ist ein themenorientierter Ansatz: Die Verarbeitungen werden übergreifend (Chat, Lead-Formulare, CRM, Tracking) beschrieben, und die konkret eingesetzten Dienstleister – darunter Pipedrive – werden in einem Anhang: Empfänger gelistet. Genau dieser Methodik folgt der matterius-Generator.

C. Anbieter von Pipedrive LeadBooster

Vertragspartner für Kunden mit Sitz in der EU/EWR ist nach den Angaben des Anbieters die Pipedrive OÜ, eine estnische Gesellschaft (Osaühing) mit Sitz in Tallinn, Estland. Die konkrete Anschrift ist vom Webseitenbetreiber im jeweiligen Vertrag bzw. in den Pipedrive-Terms (Section 14.1) zu prüfen; in öffentlichen Quellen werden Mustamäe tee 3a, 10615 Tallinn (Registeranschrift) sowie Paldiski mnt 80, 10617 Tallinn (Europa-Hauptsitz) genannt.

Konzernmuttergesellschaft ist die Pipedrive Inc. mit Sitz in New York, USA. Pipedrive Inc. ist nach den Angaben des Anbieters unter dem EU-US Data Privacy Framework (DPF) zertifiziert; der Status ist über die DPF-Liste zu prüfen (dataprivacyframework.gov). Da Pipedrive Inc. nach dem DPA „Recipient of Personal Data in the United States" ist, kommt ein Drittlandtransfer in die USA – auch bei vertraglicher Bindung an die EU-Tochter – regelmäßig in Betracht.

Quellen:

• Pipedrive Privacy Notice: pipedrive.com/en/privacy
• Pipedrive Data Processing Addendum: pipedrive.com/en/privacy/dpa
• Pipedrive Sub-Processors: pipedrive.com/en/subprocessors
• LeadBooster Cookies Knowledge Base: support.pipedrive.com/en/article/leadbooster-cookies
• Pipedrive & GDPR: support.pipedrive.com/en/article/pipedrive-and-gdpr

D. Datenverarbeitung bei Pipedrive LeadBooster – Ablauf in Schritten

E. Erhobene Daten bei Pipedrive LeadBooster

Beim Einsatz der eingebetteten LeadBooster-Funktionen werden nach den Angaben des Anbieters typischerweise verarbeitet: IP-Adresse des Besuchers, User-Agent (Browser und Betriebssystem), die URL der Seite, auf der das Widget geladen wird, Datum und Uhrzeit des Zugriffs, die Chatbot- bzw. Web-Form-ID, der Interaktionstyp (Aufruf, Interaktion, Submit) sowie die vom Besucher in Formular und Chat eingegebenen Inhalte (z.B. Name, E-Mail, Telefonnummer, Anfragetext, ggf. Datei-Uploads). Daneben werden Cookies wie __cf_bm (Cloudflare) und – bei aktivem Spam-Schutz – _GRECAPTCHA (Google) gesetzt.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: insbesondere IP-Adresse, Datum/Uhrzeit, angefragte URL, Referrer, übertragene Datenmenge und Statuscode der Verbindung zum Pipedrive-Server.
• Klickpfade: aufgerufene Seiten mit eingebundenem LeadBooster-Widget, Klicks auf Chatbot-Buttons sowie Aufruf und Absenden von Formularen, jeweils mit Zeitstempel.
• Endgeräte-Daten: Gerätetyp, Betriebssystem, ggf. Bildschirmauflösung, Touch-Unterstützung.
• Browserinformationen: Browsername und -version (User-Agent).
• Grobe Standortdaten: anhand der IP-Adresse ermittelter ungefährer Standort des Besuchers.
• Nutzer-Inhalte: vom Besucher in Chat oder Web-Formular eingegebene Inhalte, z.B. Name, E-Mail-Adresse, Telefonnummer, Nachrichtentext, Auswahl in Chatbot-Dialogen, hochgeladene Dateien.
• Conversion-Ereignisse: relevante Interaktionen wie Formular-Abschluss, Chat-Eröffnung, Lead-Übermittlung.
• Cookies: __cf_bm (Cloudflare-Bot-Schutz), bei Spam-Schutz _GRECAPTCHA (Google reCAPTCHA).

F. Nutzungszwecke des Webseitenbetreibers

Der Webseitenbetreiber nutzt Pipedrive LeadBooster nach typischer Praxis, um Besucher in einen direkten Dialog zu bringen, qualifizierte Leads zu erfassen und diese unmittelbar in das Pipedrive-CRM zu überführen. Im Vordergrund stehen Vertragsanbahnung, Kommunikation und die Effizienz des Vertriebsprozesses; daneben dienen einzelne Datenarten der Sicherheit und Missbrauchsabwehr (insbesondere Bot-Schutz).

Die Zwecke lassen sich in folgende standardisierte Nutzungszweck-Klassen einordnen:

• Funktionsbereitstellung: Bereitstellung der Chat- und Formularfunktion, Anzeige des Widgets, Anpassung an das Endgerät, Fehlererkennung.
• Vertragsdurchführung: Anbahnung und Abwicklung des angefragten Vertragsverhältnisses zwischen Webseitenbetreiber und Besucher (Lead-Bearbeitung, Angebot, Beratung).
• Sicherheit und Missbrauchsschutz: Bot- und Spam-Abwehr (__cf_bm, ggf. reCAPTCHA), Erkennung missbräuchlicher Eingaben.
• Allgemeine Produktverbesserung: Auswertung anonymer Aufruf- und Interaktionsstatistiken zur Verbesserung der eigenen Lead-Strecken und Formulare.
• Allgemeines Marketing: Reichweiten- und Erfolgsauswertung von Lead-Kampagnen auf Aggregat-Ebene.
• Kommunikation: Beantwortung von Anfragen, Kundenservice, Support.
• Rechtsdurchsetzung: Nachweis von Anfragen sowie Geltendmachung bzw. Verteidigung von Ansprüchen.

G. Rechtsgrundlagen für Pipedrive LeadBooster

Pipedrive LeadBooster fällt in seiner Webseiten-Einbindung primär in die Tool-Kategorien Drittanbieter-Inhalte / Chat / Lead-Erfassung (CRM-Anbindung).

Als Rechtsgrundlagen kommen typischerweise in Betracht:

• Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG für das Laden des Widgets als Drittanbieter-Inhalt sowie für nicht-essenzielle Cookies. Pipedrive weist nach eigenen Angaben darauf hin, dass Chatbot und Web Forms keine CMP-Signale auswerten; der Webseitenbetreiber ist daher selbst dafür verantwortlich, das Laden der Skripte bis zur Einwilligung zu blockieren.
• Vertragsanbahnung / Vertragsdurchführung nach Art. 6 Abs. 1 lit. b DSGVO für die Verarbeitung der vom Besucher in Formular oder Chat eingegebenen Inhalte, soweit diese der Anbahnung oder Durchführung eines Vertrags zwischen Besucher und Webseitenbetreiber dienen (z.B. Beratungsanfrage, Angebotsanforderung).
• Berechtigte Interessen nach Art. 6 Abs. 1 lit. f DSGVO an Werbung (Lead-Erfassung im B2B-Kontext), Effizienz (zentralisierter, automatisierter Lead-Prozess), Kommunikation (direkter Kanal zum Interessenten), Sicherheit und Missbrauchsschutz (Bot-Abwehr) sowie Rechtsausübung (Nachweis von Anfragen).

Welche Rechtsgrundlage im konkreten Fall einschlägig ist, hängt von der Ausgestaltung der Einbindung (mit/ohne Consent-Banner, Spam-Schutz aktiv, Tracking-Komponenten), vom Kontext (B2B / B2C) und vom Zweck der konkreten Erhebung ab und ist vom Webseitenbetreiber im Einzelfall zu prüfen.

H. Besonderheiten und Hinweise zu Pipedrive LeadBooster

• AVV / DPA: Pipedrive stellt einen Standard-DPA zur Verfügung (pipedrive.com/en/privacy/dpa), der nach Angaben des Anbieters mit Annahme der Terms of Service automatisch in Kraft tritt. Pipedrive handelt nach dem DPA als Auftragsverarbeiter des Webseitenbetreibers.
• Subprozessoren: Vollständige, gepflegte Liste unter pipedrive.com/en/subprocessors. Zentral: Amazon Web Services (Hosting EU/USA), Cloudflare (CDN/Security, USA), Rackspace (Support, Schweiz), MessageBird (Live-Chat), OpenAI Ireland (KI-Funktionen). Die Liste sollte vom Webseitenbetreiber regelmäßig auf Änderungen geprüft werden.
• Drittlandtransfer: Da Pipedrive Inc. (USA) im DPA als Empfänger US-seitig benannt ist und Subprozessoren wie AWS und Cloudflare US-Bezug haben, kommen Drittlandtransfers in die USA in Betracht. Pipedrive nennt als Garantie die EU-Standardvertragsklauseln (SCCs, Modul 3) sowie die DPF-Zertifizierung der Pipedrive Inc. (im DPF-Register zu verifizieren).
• Cookies & Spam-Schutz: Bei aktivem Spam-Schutz für Web-Formulare bindet Pipedrive Google reCAPTCHA ein (_GRECAPTCHA). Dies ist ein zusätzlicher Drittanbieter-Inhalt und löst eine separate Bewertung als Drittanbieter-Einbindung aus.
• Engagement-Tracking: Pipedrive erfasst nach eigenen Angaben für Feature-Dashboards beschränkte Aufruf-/Interaktionsdaten (webformId, embedded, URL, Interaktionstyp). Personenbezug ist nach Anbieterangabe nicht intendiert; eine Restwahrscheinlichkeit über IP/User-Agent ist jedoch typisch.
• Web Visitors: Wird zusätzlich das Pipedrive-Web-Visitors-Feature (basierend auf Dealfront-Technologie) eingebunden, kommen weitere Cookies (_lfa, _lfa_expiry, _lfa_consent) und ein eigener Einwilligungsbedarf hinzu. Diese Funktion ist nicht Gegenstand dieser Seite.
• Einstellungen für den Webseitenbetreiber: Spam-Schutz aktivieren/deaktivieren, Custom-Domain konfigurieren, Datenfelder im Web-Formular minimieren (Datenminimierung), DSGVO-Checkbox bzw. Hinweis auf die Datenschutzerklärung im Formular einbinden, Speicherfristen und Löschregeln im Pipedrive-Konto setzen.
• Hinweis zur Quellenlage: Die Darstellung beruht auf den Angaben des Anbieters und öffentlich recherchierbaren Quellen (Stand: 2026-05-07) und ersetzt keine Einzelfallprüfung.

I. FAQ zu Pipedrive LeadBooster und Datenschutz

J. Fazit und Call-to-Action

Pipedrive LeadBooster bringt mit Chatbot, Live-Chat und Web-Formularen leistungsfähige Lead-Erfassungswerkzeuge auf die eigene Webseite und übergibt die Daten direkt an das Pipedrive-CRM. Datenschutzrechtlich relevant sind dabei vor allem das Laden des Widgets als Drittanbieter-Inhalt, das Setzen von Cookies (insbesondere __cf_bm und ggf. _GRECAPTCHA), die Verarbeitung der eingegebenen Inhalte zur Vertragsanbahnung sowie die Einbindung von Subprozessoren wie AWS und Cloudflare und der mögliche Drittlandtransfer in die USA über Pipedrive Inc.

In der Datenschutzerklärung müssen all diese Aspekte – Zwecke, Rechtsgrundlagen, Empfänger, Drittlandtransfer, Speicherdauer – transparent dargestellt werden. Es ist jedoch wenig sinnvoll, dafür einen eigenen Textbaustein nur für Pipedrive LeadBooster aufzunehmen. Das macht die Datenschutzerklärung lang, unübersichtlich, schwer pflegbar und widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO.

Sachgerechter ist ein strukturierter, themenorientierter Ansatz: Verarbeitungen werden nach Themenblöcken (Serverbetrieb, Drittanbieter-Inhalte, Chat, Lead-Erfassung, CRM, Tracking …) übergreifend beschrieben, und im Anhang: Empfänger werden die konkret eingesetzten Dienstleister – etwa Pipedrive OÜ samt Subprozessoren – einmalig gelistet. Genau diese Methodik verfolgt der matterius-Generator.

K. Kurator

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com